个人信息访问与使用
收集个人信息的目的在于使用,通过使用实现收集个人信息的目的,挖掘和实现数据的价值。而要使用个人信息,访问个人信息必不可少,通过访问个人信息,方能实现对个人信息进行相关使用。
《网络安全法》第41条对个人信息使用进行了原则性的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则……不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。《数据安全管理办法(征求意见稿)》第22条也作出了相关规定,要求网络运营者不得违反收集使用规则使用个人信息。因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意。在前述规定的基础上,结合《个人信息安全规范》第7条的要求,具体探讨个人信息访问与使用的合规要求。
(一)个人信息的访问限制
据统计,2019年数据泄露事件中,12%的数据泄露系因非授权访问导致,9%的数据泄露系因“内鬼”导致,也就是未经授权访问和内部员工违法违规对外提供数据导致了21%的数据泄露事件。[2]由此可见,需要加强个人信息的访问限制。
根据《个人信息安全规范》第7.1条,并结合实践中常见问题,个人信息访问控制措施的具体要求如下:
1.最小授权
最小授权,即对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。
实践中,有的公司数据管理不规范,几乎所有员工甚至实习生,只要和数据库负责人打个招呼,就能访问到公司的全部原始数据,数据泄露的风险极高,这是非常不可取的。网络运营者需要在数据分类分级的基础上,根据不同员工的不同岗位职责,分配能够满足其职责所需的最小权限,并且在最小权限范围内也仅能访问到最小必要的个人信息。
2.重要操作内部审批
重要操作内部审批,即对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作。
少量个人信息的在线查看和处理,造成个人信息安全事件的风险相对较小。但对个人信息的重要操作,即使在遵循最小授权要求下,如批量修改、拷贝、下载等,仍然最容易导致大规模数据泄露、数据被篡改等数据安全事件。因此,对于重要操作,需要建立内部审批机制,审批操作的必要性,评估操作的安全风险,降低随意进行重要操作的道德风险。
3.岗位角色分离设置
岗位角色分离设置,即对安全管理人员、数据操作人员、审计人员的角色进行分离设置。
安全管理人员、数据操作人员和审计人员,角色定位不同,分别负责数据安全的管理、数据的实际操作和数据相关审计工作。如果岗位角色混同,自己使用数据,自己管理自己,自己审计自己,人员的道德风险明显增加。因此,需要确保岗位角色分离设置,安全管理人员持续管理数据安全,数据操作人员践行数据安全管理要求,数据审计人员审计数据操作的合法合规性和安全,这样才能更好地实现数据安全的管理、执行和监督。
4.超权限处理个人信息需经审批并记录在册
超权限处理个人信息需经审批并记录在册,即确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册。
在最小授权的基础上,因业务拓展、紧急状况、人员紧张等原因,不可避免地会出现确实因为工作需要,特定人员需要暂时超越既有权限处理个人信息。为了避免未经授权的访问,并且确保有迹可循,需要对超权限处理个人信息的行为进行审批,审批其超权限处理的必要性和安全风险,并应详细记录操作人姓名、操作目的或必要性、超权限处理信息范围、操作时间等内容。对于个人信息保护责任人或个人信息保护工作机构的设立,本书会在后面专门探讨数据安全的组织管理,此处不再展开。
5.个人敏感信息操作行为的额外要求
个人敏感信息操作行为的额外要求,即对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。
个人敏感信息因为其泄露等对个人信息主体会造成较为严重的损害,需要对其操作行为进行更加严格的要求。角色权限控制能够一定程度上降低操作风险,再结合真实业务需求,能够更好地把控个人敏感信息的安全风险。对于上述举例,投诉处理人员为了处理客户投诉,需要分配给其查看客户订单交易记录等个人敏感信息的权限,否则将导致真实投诉发生时无法及时有效地处理客户的投诉。但有该等权限,并不代表投诉处理人员可以随时随地随意查看某个客户的该等信息,而需要在真实客户投诉产生后,凭借真实客户投诉的相关凭证,去使用权限访问个人信息主体的相关信息。
6.离岗员工权限回收
离岗员工权限回收,即对于离岗员工应及时回收其基于原岗位职责所分配的权限。
金融机构等因未及时收回离岗员工数据操作权限导致数据泄露的事件,实践中已经多次出现。离岗员工一般包括两种情形,离开原来的岗位调动去新的岗位和离职。不管是哪种情形,不及时回收原有的数据访问权限,都会增加数据泄露的风险。调动新的岗位分配新的权限,可能导致两个数据权限打通,获得更高的数据操作权限;离职后,不管是出于报复还是谋取利益,未及时收回权限,都可能导致员工再次使用原有数据操作权限,进行相应数据操作。因此,需要及时回收离岗员工的数据操作权限,回收方式包括修改用户名密码等。
7.外部人员访问限制
外部人员访问限制,即应采取技术措施和安全措施,有效限制外部人员访问数据的范围、途径和操作权限。
实践中,因委托技术开发、数据共享等原因,外部人员需要访问内部数据的情形并不少见。在做好“内鬼”防范的同时,也要注意管控外部人员的数据安全风险。
根据《互联网个人信息安全保护指南》第4.4.5a)条要求,应建立关于物理环境的外部人员访问的安全措施:1)制定外部人员允许访问的设备、区域和信息的规定;2)外部人员访问前需要提出书面申请并获得批准;3)外部人员访问被批准后应有专人全程陪同或监督,并进行全程监控录像;4)外部人员访问情况应登记备案。
根据《互联网个人信息安全保护指南》第4.4.5b)条要求,应建立关于网络通道的外部人员访问的安全措施:1)制定外部人员允许接入受控网络访问系统的规定;2)外部人员访问前需要提出书面申请并获得批准;3)外部人员访问时应进行身份认证;4)应根据外部访问人员的身份划分不同的访问权限和访问内容;5)应对外部访问人员的访问时间进行限制;6)对外部访问人员对个人信息的操作进行记录。
此外,应该限制外部人员数据访问范围,使其仅能访问满足合作需求所必需的数据,而非全部数据。而且,对于外部人员数据访问的权限,应以访问查看为主,审慎赋予批量修改、下载、拷贝等操作权限。
(二)个人信息的使用规范
根据《个人信息安全规范》第7.2条-7.6条的要求,个人信息的使用规范包括展示限制、使用目的限制、用户画像的使用限制、个性化展示的使用规范和基于不同业务目的所收集个人信息的汇聚融合规范,其中最主要的是对使用目的的限制。接下来,我们将结合相关要求,具体探讨个人信息的合规使用方式。
1.使用目的限制
根据《个人信息安全规范》第7.3a)条,使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。前述《数据安全管理办法(征求意见稿)》第22条的规定与该条内容相近似。
使用目的限制,主要在于要求网络运营者言行一致,不能说一套做一套。这里的“合理关联”不能滥用,需要是基于真实业务关系、能够合理解释的关联,强行关联难以被认可。与其强行关联承担合规风险,不如遵照后半句的要求,即再次征得个人信息主体的明示同意,这里的“明示同意”宜理解为通过更新个人信息保护政策、弹窗说明超范围情况等明示方式获得个人信息主体的同意。
2.展示限制
根据《个人信息安全规范》第7.2条,涉及通过界面展示个人信息的(如显示屏幕、纸面),网络运营者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
其实展示限制,在实践中已经在很多地方得到运用。比如,在医院看病时,叫号屏幕显示的患者姓名,两个字的名字会抹去最后一个字,三个字的名字会抹去中间的字,目的就在于防止在显示环节泄露患者的姓名。再比如,很多App个人信息的显示页面,姓名、银行卡号等信息一般会抹去部分信息,也是在于防止在App页面环节,被他人窥屏或以其他方式违规获取用户的个人信息。
3.用户画像的使用限制
根据《个人信息安全规范》第3.8条,用户画像系指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。用户画像包括直接用户画像和间接用户画像,其中直接用户画像系指直接使用特定自然人的个人信息,形成该自然人的特征模型;间接用户画像系指使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型。
根据《个人信息安全规范》第7.4条和《App自评估指南》评估点11,用户画像的使用限制主要包括:
(1)特征描述的限制
用户画像中对个人信息主体的特征描述,不应:1)包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;2)表达对民族、种族、宗教、残疾、疾病歧视的内容。
进行用户画像,必须对用户进行特征描述,由不同的特征组合成完整的用户画像。对特征描述的限制主要在于强调不得包含违法违规的内容和不得进行歧视。这里不应表达歧视内容的要求,并非不得使用该等特征描述,而是不得通过该等特征的划分,依据某一个特征对某一类个人信息主体进行歧视,如依据某一个特征对信用风险评级进行明显调低。
(2)使用用户画像的限制
在业务运营或对外业务合作中使用用户画像的,不应:1)侵害公民、法人和其他组织的合法权益;2)危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。
使用用户画像的限制,主要在于强调使用用户画像过程中应遵纪守法,符合社会主义法治要求。对于该要求,容易出现的是侵犯个人信息主体合法权益的情况,因此在进行用户画像时应尽可能全面、客观、准确,特别是用户画像的结果对个人信息主体可能产生某些负面评价时,要有足够的依据并且经得起考量。
(3)直接用户画像与间接用户画像的区分适用
除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
直接用户画像与间接用户画像的区分使用,主要在于强调非必要不得使用直接用户画像,尽量降低直接用户画像对用户可能产生的负面影响。
(4)说明应用场景和可能产生的影响
对于App运营者来说,如果App运营者将个人信息用于用户画像,应在个人信息保护政策中说明其应用场景和可能对用户产生的影响。
以金融借贷场景为例,App运营者将个人信息用于用户画像,应在个人信息保护政策中说明用户画像用于信用风险评估,可能对用户的风险定价产生影响。
4.个性化展示的使用规范
根据《个人信息安全规范》第3.16条,个性化展示系指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
根据《个人信息安全规范》第7.5条,个性化展示的使用规范主要包括:
(1)显著区分个性化展示和非个性化展示内容
在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容。显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。
《数据安全管理办法(征求意见稿)》第23条对定向推送进行了近似的规定,要求“网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明‘定推’字样,为用户提供停止接收定向推送信息的功能……”。相比之下,《个人信息安全规范》对显著区分方式的要求更加具有弹性和可操作性,这也是在征集网络运营者意见后作出的有益调整。实践中常见的标注方式有“猜你喜欢”“为你推荐”等。
(2)个性化展示的同时提供非定向推送的选项
1)电子商务中个性化展示的同时应提供不针对个人特征的选项
根据《个人信息安全规范》第7.5b)条,在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。但如果基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
该要求的出处在于《电子商务法》第18条,该条要求“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项”,主要目的在于避免电子商务经营者利用消费者个人特征仅向其推送筛选后的商品或服务,而非展示全部的商品或服务,影响和限制消费者的选择,旨在强调尊重和平等保护消费者合法权益。对于规定的例外情形,如A和B两个消费者,个人特征不一致,但位置都处于某一栋写字楼,搜索某一商品时,两人的展示内容和搜索结果排序是一样的,这就属于不针对其个人特征的选项。
2)App推送通用要求
根据《App违法违规认定方法》第3.6条,利用用户个人信息和算法定向推送信息,应提供非定向推送信息的选项。
不同于《个人信息安全规范》第7.5b)条针对电子商务的个性化推送作出的要求,本条系针对所有利用个人信息和算法定向推送信息的App运营者作出的要求,即提供非定向推送信息的选项。此外,《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》中,将“‘强制用户使用定向推送功能’,即App未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项”作为违规使用个人信息的典型问题之一。因此,宜通过设置关闭定向推送按钮和同时提供不针对个人特征的推送信息两种方式相结合,来实现非定向推送信息。
(3)个性化推送新闻信息的特殊要求
在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:1)为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;2)当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
简单直观的退出或关闭个性化展示模式的选项,常见的设置为一键关闭定向推送按钮。当然,这里关闭个性化推送不代表不再推送,只是不再基于个性化的信息进行推送,推送的数量可以继续保持。此外,个人信息主体选择退出的,此处要求提供的是删除或匿名化定向推送活动所基于的个人信息的选项,而非删除或匿名化该用户的全部个人信息,如可以删除或匿名化用户选择的感兴趣的新闻类型标签。
(4)个人信息主体自主控制机制
在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
实践中部分App会在用户首次运营时由用户选择感兴趣的内容标签,据此来初步判断用户的兴趣方向。但随着时间的推移,用户的兴趣方向可能会发生变化,为用户设置调整兴趣标签的机会就会显得更加人性化,有助于提升用户体验。
5.基于不同业务目的所收集个人信息的汇聚融合规范
集团公司模式下,容易产生不同业务目的所收集个人信息想要汇聚融合的情况,甚至在同一家公司内部,不同产品线收集的个人信息也经常想要汇聚融合,通过汇聚融合打通数据从而丰富数据的维度。但汇聚融合并非随心所欲,需要遵循前面所述的使用目的限制的要求,具有直接或合理关联的目的范围内方可进行汇聚融合。此外,应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。
举个例子,某集团旗下有某某商城提供电商服务以及某某金融提供消费金融服务。当用户在某某商城消费之后,就会生成消费记录。某某金融如果向某某商城索要用户的消费记录,说这个客户的交易记录很有用,可以根据客户的交易状况、消费记录,了解该客户的消费能力、信用状况,以此决定客户的信用等级和可以授予该用户的信用消费额度。但如果用户根本没有使用消费金融的需求和意愿,某某商城未获取用户同意,就将用户的消费记录提供给某某金融,那用户永远不会想到,在电商平台购物却导致集团企业对其开始风险定价,这对于用户体验来说是非常糟糕的,也是脱离了直接或必要的关联目的范围而进行的信息汇聚融合。